"空き巣"入り放題！ ｢過去のサイト｣放置の怖さ 管理されていないページが招くサイバー攻撃

冒頭の積水ハウスの情報漏洩も、同社のリリースによると「2008年～2011年に実施したフォトギャラリーで使用し、現在は運用していないページでセキュリティ設定に不備があり、データベースを操作するための言語を用いたサイバー攻撃を受けた」ものである。

ページ閉鎖時に気をつけたドメインの問題

実はIPAではすでに10年前の2014年に、「管理できていないウェブサイトは閉鎖の検討を」と呼び掛けている。

このときは古いバージョンのCMS（コンテンツ管理システム）の脆弱性を狙ったウェブ改ざんが横行し、改ざんによりウイルスを仕掛けることも可能であるため、注意喚起が行われた。公開したときはセキュリティ対策を万全に行ったつもりでも、後になって脆弱性が発見され、リスクの高い状態になる場合もあるからだ。

では過去にリリースし、現在は運用が終わっているページのセキュリティリスクには、どう対処すればよいだろうか。

大久保 直人（おおくぼ なおと）／独立行政法人情報処理推進機構 セキュリティセンター 対処調整部 脆弱性対策グループ。民間企業にてソフトウェア開発に携わり、その後、転職し、サイバー犯罪対策に関する業務などを経て、2023年にIPAに入構。現在は、情報システムの脆弱性対策業務として、情報セキュリティ早期警戒パートナーシップの運営・改善、脆弱性情報の発信、脆弱性対策の普及・推進等の業務に従事（写真：本人提供）

「まず自社が公開しているページは、運用を終えているものも含め、すべて把握することが重要です。そして運用を終了するページについては、『〇年〇月〇日にこのページは閉鎖します』と適切に告知したうえでしっかり閉鎖し、アクセスできないようにする。

運用を終了したいが、何らかの理由で閉鎖できない、あるいは情報発信などのために公開を維持する必要があるといった場合は、もちろん日々の監視が必要になります。通常の運用と同じ状態で、セキュリティ対策をしっかり行いましょう」

ページを閉鎖する際に気を付けたいのがドメインの扱いで、今まで使用していたドメインを手放すと、悪意を持った第三者にそれを取得され、自社に成りすました情報発信を行われてしまうリスクがある。

最も安全なのはドメインを維持し続けることであるが、コストがかかってしまう。仮に手放さざるを得ないとしても、不正利用されていないか定期的に確認を続ける必要があろう。もし不正利用されてしまったとしたら、正規サイトの目立つ場所に注意喚起を行い、利用者に被害が発生しないような措置が必要である。